Cumplimiento del RGPD

Kairion LegalTech S.L. (en adelante, Kairion) trata la protección de datos personales como un pilar fundamental de su servicio. Dado que nuestra plataforma procesa datos de expedientes judiciales — información sensible de terceros — el cumplimiento del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) no es solo una obligación legal, sino un compromiso ético con nuestros usuarios.

Responsable del tratamiento: Kairion LegalTech S.L. (en constitución)
CIF: Pendiente de inscripción
Dirección: [Datos registrales pendientes]
Email: hola@kairion.es

En la actualidad, Kairion no cuenta con un Delegado de Protección de Datos (DPD) designado, al no ser obligatorio conforme al Art. 37 del RGPD. No obstante, cualquier consulta sobre protección de datos puede dirigirse a la dirección de correo electrónico indicada.

Kairion trata las siguientes categorías de datos personales:

• Datos identificativos del usuario: nombre, email profesional, DNI/NIE (en caso de facturación).
• Datos de expedientes judiciales: nombres de las partes, NIG, datos del procedimiento, resoluciones judiciales, fechas de notificación y plazos procesales.
• Datos de navegación: dirección IP, tipo de navegador, páginas visitadas, duración de la sesión.
• Datos de comunicación: correos electrónicos intercambiados con nuestro equipo de soporte.

Kairion aplica los principios del Art. 5 del RGPD:

• Licitud, lealtad y transparencia: informamos claramente sobre el tratamiento de datos en nuestra Política de Privacidad.
• Limitación de la finalidad: los datos solo se tratan para las finalidades descritas en la política de privacidad.
• Minimización de datos: solo recopilamos los datos estrictamente necesarios para la prestación del servicio.
• Exactitud: mantenemos los datos actualizados y corregimos las inexactitudes a petición del usuario.
• Limitación del plazo de conservación: los datos se eliminan cuando dejan de ser necesarios para la finalidad para la que fueron recogidos.
• Integridad y confidencialidad: implementamos medidas de seguridad técnicas y organizativas para proteger los datos.
• Responsabilidad proactiva: realizamos evaluaciones de impacto y mantenemos un registro de actividades de tratamiento.

Kairion implementa las siguientes medidas de seguridad conforme al Art. 32 del RGPD:

• Cifrado en tránsito: todas las comunicaciones se realizan mediante TLS 1.3.
• Cifrado en reposo: los datos almacenados en la base de datos están cifrados con AES-256.
• Row Level Security (RLS): cada despacho solo puede acceder a sus propios datos. Las políticas RLS de Supabase impiden el acceso cruzado entre tenants.
• Autenticación multifactor: soporte para TOTP (Time-based One-Time Password) como segundo factor de autenticación.
• Logs de auditoría: registro de accesos, modificaciones y eliminaciones de datos con trazabilidad completa.
• Control de accesos: principio de mínimo privilegio para el acceso administrativo a la infraestructura.
• Copias de seguridad: backups automáticos diarios con retención de 30 días.
• Evaluación de proveedores: todos los subencargados del tratamiento han sido evaluados y cuentan con garantías contractuales adecuadas.

Los usuarios pueden ejercer los siguientes derechos enviando un correo a hola@kairion.es con copia de su DNI:

• Acceso (Art. 15): obtener confirmación de si tratamos sus datos y una copia de los mismos.
• Rectificación (Art. 16): solicitar la corrección de datos inexactos.
• Supresión / Derecho al olvido (Art. 17): solicitar la eliminación de sus datos cuando ya no sean necesarios.
• Limitación del tratamiento (Art. 18): solicitar la restricción del tratamiento en determinados supuestos.
• Portabilidad (Art. 20): recibir sus datos en un formato estructurado, de uso común y lectura mecánica.
• Oposición (Art. 21): oponerse al tratamiento basado en interés legítimo.
• Decisiones automatizadas (Art. 22): no ser objeto de decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles.

Dado que Kairion trata datos de expedientes judiciales a gran escala y utiliza tecnologías innovadoras (inteligencia artificial), hemos realizado una Evaluación de Impacto en Protección de Datos conforme al Art. 35 del RGPD. Las principales conclusiones son:

• El riesgo residual para los derechos y libertades de los interesados es bajo, gracias a las medidas de seguridad implementadas.
• Los datos de IA se transmiten cifrados y no se almacenan en los servidores de los proveedores de IA.
• Las políticas RLS garantizan el aislamiento de datos entre despachos.

En caso de violación de la seguridad de los datos personales, Kairion notificará a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas conforme al Art. 33 del RGPD. Si la violación supone un alto riesgo para los derechos y libertades de los interesados, se les comunicará de forma individual conforme al Art. 34.

Algunos de nuestros proveedores de infraestructura tienen servidores fuera del Espacio Económico Europeo (EEE). Todas las transferencias se realizan con las garantías previstas en el RGPD:

• Cláusulas contractuales tipo aprobadas por la Comisión Europea.
• Decisiones de adecuación (Privacy Shield Framework para proveedores estadounidenses).
• Medidas complementarias de cifrado de extremo a extremo.

Los siguientes terceros actúan como encargados del tratamiento:

• Supabase, Inc. — alojamiento de base de datos (EE. UU.).
• Vercel, Inc. — hosting de la aplicación web (EE. UU.).
• Groq, Inc. — procesamiento de IA (EE. UU.).
• OpenAI, LLC — procesamiento de IA alternativo (EE. UU.).
• Google LLC — integración con Gmail y procesamiento de IA alternativo (EE. UU.).
• Resend, Inc. — envío de correos electrónicos transaccionales (EE. UU.).

Si consideras que el tratamiento de tus datos personales no se ajusta a la normativa vigente, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), con sede en C/ Jorge Juan 6, 28001 Madrid.

Esta política de cumplimiento RGPD se revisará periódicamente y se actualizará cuando se produzcan cambios en la normativa, en los tratamientos de datos o en la infraestructura de Kairion.